The OpenNET Project / Index page

[ новости/++ | форум | wiki | теги ]

Как заблокировать вход пользователей, работающих через сеть Tor
Список точек выхода сети Tor, с которых инициируются исходящие соединения,
можно загрузить на официальном сайте проекта Tor:

   https://check.torproject.org/cgi-bin/TorBulkExitList.py

или используя неофициальные архивы:

   http://torstatus.info/ip_list_all.php/Tor_ip_list_ALL.csv
   https://www.dan.me.uk/torlist/


По указанным адресам выдаются списки IP-адресов, которые можно использовать для
блокирования межсетевым экраном/HTTP-сервером или привязки метки через модуль geo_ip.

Пример блокирования через ipfw:

   ipfw table 1 flush 
   curl https://check.torproject.org/cgi-bin/TorBulkExitList.py?ip=8.8.8.8 | grep -v "^#" | while read cnt ip; do
      /sbin/ipfw table 1 add $ip 1
   done
   ipfw add deny all from "table(1)" to any via em1

Для выставления флага через модуль ngx_http_geo_module в nginx:

   curl https://check.torproject.org/cgi-bin/TorBulkExitList.py?ip=8.8.8.8 | 
      grep -v "^#" |  sed 's/$/ tor;/' > /usr/local/etc/nginx/tor.conf 

в nginx.conf:

   geo  $country  {
	include          /usr/local/etc/nginx/tor.conf
   }

далее для блокировки можно добавить проверку:
   if ($country = 'tor') {
	...
   }
 
16.12.2013
Ключи: tor, ipfw, block, nginx / Лицензия: CC-BY
Раздел:    Корень / Администратору / Сетевая подсистема, маршрутизация / Пакетные фильтры и фаерволы / Пакетный фильтр в FreeBSD: ipfw, IP-Filter

Обсуждение [ Линейный режим | Показать все | RSS ]
 
  • 1.1, vadiml, 00:18, 16/12/2013 [ответить] [смотреть все]
  • +/
    > заблокировать вход пользователей, работающих через сеть Tor

    А какой в этом смысл?

     
     
  • 2.9, Слава, 16:51, 16/12/2013 [^] [ответить] [смотреть все] [показать ветку]
  • +/
    Смысл в том, что сейчас большое количество атака и вирусов которые ломятся и исх... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.16, Аноним, 05:08, 17/12/2013 [^] [ответить] [смотреть все]  
  • +/
    Явно не больше чем из обычного интернета У него фиг отберешь пальму первенства ... весь текст скрыт [показать]
     
  • 3.56, azure, 13:21, 29/12/2013 [^] [ответить] [смотреть все]  
  • +1 +/
    Можете предоставить ссылочку на хоть какую-нибудь аналитику в этом вопросе Я по... весь текст скрыт [показать]
     
     
  • 4.57, Gringo, 16:43, 29/12/2013 [^] [ответить] [смотреть все]  
  • +/
    Т.е. делать ничего не надо?! Ок, ок )
     
     
  • 5.58, azure, 18:21, 29/12/2013 [^] [ответить] [смотреть все]  
  • +/
    Я не говорил, что делать ничего не надо Я лишь говорил что не следует делать бе... весь текст скрыт [показать]
     
     
  • 6.59, Gringo, 18:28, 29/12/2013 [^] [ответить] [смотреть все]  
  • +1 +/
    Почему ты думаешь, что это бесполезное и вредное дело Мне кажется, ненадо говор... весь текст скрыт [показать]
     
  • 5.69, anonymous, 15:12, 07/02/2014 [^] [ответить] [смотреть все]  
  • +/
    Чтобы якобы доказать несостоятельность предложенного, вы предлагаете какие-то ди... весь текст скрыт [показать]
     
     
  • 6.71, mickvav, 16:35, 17/02/2014 [^] [ответить] [смотреть все]  
  • +/
    Да нет, просто когда товарищу сержанту надо отчитаться перед товарищем майором о... весь текст скрыт [показать]
     
  • 6.85, Аноним, 18:21, 04/04/2014 [^] [ответить] [смотреть все]  
  • +/
    Через Tor Browser нормально смотрятся видео в HD, не надо тут Всё просто леает ... весь текст скрыт [показать]
     
  • 3.70, Аноним, 10:14, 17/02/2014 [^] [ответить] [смотреть все]  
  • +/
    Я бы сказал, что есть некая защита от троллей. Самые жирные сидят с тора.
     
     
  • 4.73, dq0s4y71, 21:04, 28/02/2014 [^] [ответить] [смотреть все]  
  • +1 +/
    Лучшая защита от троллей - это не кормить их.
     
  • 1.3, AS, 08:32, 16/12/2013 [ответить] [смотреть все]  
  • +/
    чтоб не ломали
     
  • 1.4, count0krsk, 11:35, 16/12/2013 [ответить] [смотреть все]  
  • +2 +/
    Пффф. Тоже мне защита. Ломанут через 1 хост из многотысячного ботнета. Легче будет?
    Вообще можно перекрыть всем доступ, кроме родной страны. А то вдруг негры сомалийские сломают.
    Нормальную защиту надо делать, чтобы случайно залетевший воробей не положил всё. Запрещая Тор Вы сильно ограничиваете потенциальную аудиторию, если это не кулинарный сайт с 5 посетителями в неделю.
     
     
  • 2.5, Аноним, 12:24, 16/12/2013 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    Блокирование Tor является очень хорошей защитой от дурака Tor ставится в один к... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.6, Sabakwaka, 13:10, 16/12/2013 [^] [ответить] [смотреть все]  
  • +/
    Глупости.
    Покажи че взять ценного и возьмут, оставив номер паспорта.
     
     
  • 4.8, Аноним, 14:41, 16/12/2013 [^] [ответить] [смотреть все]  
  • +/
    Что характерно, номер паспорта будет взят с ближайшего лоха которому нечего скр... весь текст скрыт [показать]
     
  • 3.7, Аноним, 14:05, 16/12/2013 [^] [ответить] [смотреть все]  
  • +/
    Эксперименты показали что нынче бывает проще взять открытый сокс5 чем тор Ос... весь текст скрыт [показать]
     
     
  • 4.28, Гость, 17:21, 19/12/2013 [^] [ответить] [смотреть все]  
  • –1 +/
    Расскажи про своевременное латание дыр тем, кто пострадал от 0day, эксперт.
     
     
  • 5.30, dxd, 23:14, 19/12/2013 [^] [ответить] [смотреть все]  
  • +/
    Если у атакующего есть 0day, то блокировка тора вряд ли поможет.
     
  • 5.47, Аноним, 21:55, 24/12/2013 [^] [ответить] [смотреть все]  
  • +/
    При наличии 0day блочить только Tor Это напоминает windows XP with firewall jp... весь текст скрыт [показать]
     
  • 1.10, Аноним, 19:01, 16/12/2013 [ответить] [смотреть все]  
  • +2 +/
    Какие-то вредные советы пошли то как прикрутить роскомцензурный списки, то тепе... весь текст скрыт [показать]
     
     
  • 2.17, Xasd, 17:31, 17/12/2013 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    прикрутить роскомцензурные списки -- это совет интернет-провайдеру как тор з... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.19, Аноним, 05:19, 18/12/2013 [^] [ответить] [смотреть все]  
  • +2 +/
    Самый смак в этом совете интернет-провайдеру еще был в том, что там описывалась ... весь текст скрыт [показать]
     
     
  • 4.49, Аноним, 22:01, 24/12/2013 [^] [ответить] [смотреть все]  
  • +/
    Кулсисопы дорвались до интернета И все бы ничего, но вот где была башня аппруве... весь текст скрыт [показать]
     
  • 3.22, властеелин_волосатой, 08:41, 18/12/2013 [^] [ответить] [смотреть все]  
  • +1 +/
    Когда-то мне довелось работать рядышком с главным офисом одного оператора-монопо... весь текст скрыт [показать]
     
     
  • 4.29, Гость, 17:25, 19/12/2013 [^] [ответить] [смотреть все]  
  • +1 +/
    В чем соль истории Шпионы, читая надпись на ящике, думали все эти заборы с колю... весь текст скрыт [показать]
     
  • 4.45, Аноним, 16:16, 24/12/2013 [^] [ответить] [смотреть все]  
  • +/
    Чувак, не лезь в ящик у трансформатора, там бо-бо и искры!
     
  • 2.31, Michael Shigorin, 23:28, 19/12/2013 [^] [ответить] [смотреть все] [показать ветку]  
  • +2 +/
    Здесь скорее реализация выглядит плохим советом code 124 while read cnt ip ... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.34, Xasd, 17:28, 20/12/2013 [^] [ответить] [смотреть все]  
  • –1 +/
    начнём с того что было совершенно дурацкой идеей -- писать всё это на SHELL взя... весь текст скрыт [показать]
     
     
  • 4.37, Michael Shigorin, 15:18, 21/12/2013 [^] [ответить] [смотреть все]  
  • +/
    > взяли бы Python или Perl

    Зачем?

     
     
  • 5.38, myhand, 21:09, 21/12/2013 [^] [ответить] [смотреть все]  
  • +/
    Чтобы было больше А то вот в C еще можно с памятью накосячить - тоже вариант ... весь текст скрыт [показать]
     
     
  • 6.48, Аноним, 21:58, 24/12/2013 [^] [ответить] [смотреть все]  
  • +/
    Ждем когда бидонисты перепишут айпитаблес на бидоне ... весь текст скрыт [показать]
     
  • 6.53, Andrey Mitrofanov, 09:48, 25/12/2013 [^] [ответить] [смотреть все]  
  • +/
    Гад Зачем ты Шигорину это разрешил Теперь всё пропало Магнитофон импор... весь текст скрыт [показать]
     
     
  • 7.54, Michael Shigorin, 15:13, 25/12/2013 [^] [ответить] [смотреть все]  
  • +/
    Не, я последний раз косячил с fd, так что не надо грязи ... весь текст скрыт [показать]
     
  • 5.74, dq0s4y71, 21:17, 28/02/2014 [^] [ответить] [смотреть все]  
  • +/
    Модно, чо.
     
  • 4.55, Аноним, 05:25, 29/12/2013 [^] [ответить] [смотреть все]  
  • +/
    Авторы moinmoin делом доказали что настоящий джедай дыростроения без проблем пиш... весь текст скрыт [показать]
     
  • 4.63, Аноним, 00:31, 01/01/2014 [^] [ответить] [смотреть все]  
  • +1 +/
    Ты, чтобы карандаш очинить, тоже мельничный жернов попросишь Потому что на шелл... весь текст скрыт [показать]
     
  • 1.12, pavlinux, 21:15, 16/12/2013 [ответить] [смотреть все]  
  • –1 +/
    Скриптег для iptables
    [code]
    IPTABLES=$(which iptables)
    ADDRESS="8.8.4.4"
    #
    function AntiTOR() {

        LIST=$(lynx -dump https://check.torproject.org/cgi-bin/TorBulkExitList.py?ip=$ADDRESS | grep -v '^#');

        for node in $LIST
            do
              echo $IPTABLES -A INPUT -p tcp -s $node -j REJECT --reject-with tcp-reset;
        done
    }
    [/code]

     
     
  • 2.18, Xasd, 18:00, 17/12/2013 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    да, норм только писать правила нужно не в INPUT цепочку, а в какую-нибудь каст... весь текст скрыт [показать] [показать ветку]
     
  • 2.20, Аноним, 05:20, 18/12/2013 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    А чего не через ipset Недостаточно большие таблицы в файерволе глаз не радуют ... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.24, Xasd, 14:56, 18/12/2013 [^] [ответить] [смотреть все]  
  • +/
    ды без разницы уже через несколько недель выйдет в стабильный релиз -- nfta... весь текст скрыт [показать]
     
  • 3.25, pavlinux, 03:08, 19/12/2013 [^] [ответить] [смотреть все]  
  • +/
    ipset полезен, когда адреса и правила более-менее постоянны, этот же скрипт и п... весь текст скрыт [показать]
     
     
  • 4.27, Аноним, 13:22, 19/12/2013 [^] [ответить] [смотреть все]  
  • +/
    Зачем каждый раз добавляются правила для reject-а Для чего весь список засовыва... весь текст скрыт [показать]
     
     
  • 5.32, pavlinux, 03:36, 20/12/2013 [^] [ответить] [смотреть все]  
  • +/
    Примеры в студию Пару миллисекунд жалко Ща за веником сбегаю --- а багу... весь текст скрыт [показать]
     
     
  • 6.33, Аноним, 17:25, 20/12/2013 [^] [ответить] [смотреть все]  
  • +/
    >Ща за веником сбегаю.

    не добежал чтоль?..

     
  • 6.35, Аноним, 05:39, 21/12/2013 [^] [ответить] [смотреть все]  
  • +/
    ipset create TOR_NODES hash ip -exist ipset flush TOR_NODES ipset flush TOR_NO... весь текст скрыт [показать]
     
     
  • 7.36, Аноним, 05:40, 21/12/2013 [^] [ответить] [смотреть все]  
  • +/
    Пофикшенный вариант ipset create TOR_NODES hash ip -exist ipset flush TOR_NODE... весь текст скрыт [показать]
     
     
  • 8.39, pavlinux, 23:53, 22/12/2013 [^] [ответить] [смотреть все]  
  • +/
    code --- a 2013-12-22 23 52 08 763948000 0400 b 2013-12-22 23 52 27 2... весь текст скрыт [показать]
     
     
  • 9.41, Аноним, 03:38, 24/12/2013 [^] [ответить] [смотреть все]  
  • +/
    Ты померял работу с сетью и работу с нетлинком, но никак не влияние сортировки н... весь текст скрыт [показать]
     
     
  • 10.43, pavlinux, 05:14, 24/12/2013 [^] [ответить] [смотреть все]  
  • +/
    Пичалька code ipset create TOR_NODES hash ip -exist ADDR dig short myip ope... весь текст скрыт [показать]
     
     
  • 11.51, Аноним, 04:08, 25/12/2013 [^] [ответить] [смотреть все]  
  • +/
    Теперь ты меряешь работу только с нетлинком, но опять не сортировку.
     
     
  • 12.60, pavlinux, 18:31, 29/12/2013 [^] [ответить] [смотреть все]  
  • +1 +/
    Ты ваще разницу видишь 1 cat 124 grep 124 sort 124 xargs ipset 2 ca... весь текст скрыт [показать]
     
  • 9.42, Аноним, 03:44, 24/12/2013 [^] [ответить] [смотреть все]  
  • +/
    Скрипт рассчитан на то, что цепочки фаервола, как и прочие статические вещи, соз... весь текст скрыт [показать]
     
     
  • 10.44, pavlinux, 05:18, 24/12/2013 [^] [ответить] [смотреть все]  
  • +/
    А посаны-то и не знали Тема про tor и примеры одного скрипта Чо и куда пихать... весь текст скрыт [показать]
     
     
  • 11.52, Аноним, 04:09, 25/12/2013 [^] [ответить] [смотреть все]  
  • +/
    Я тебе говорю, на что скрипт, написанный мной рассчитан и почему iptables -N там... весь текст скрыт [показать]
     
     
  • 12.61, pavlinux, 18:43, 29/12/2013 [^] [ответить] [смотреть все]  
  • +/
    cat etc sysconfig iptables cat etc sysconfig iptables Нет такого файла или... весь текст скрыт [показать]
     
     
  • 13.62, Аноним, 00:45, 30/12/2013 [^] [ответить] [смотреть все]  
  • +/
    apt-get install iptables-persistent

    А потом смотреть в /etc/iptables/rules

     
  • 1.40, Проходил мимо, 19:30, 23/12/2013 [ответить] [смотреть все]  
  • +/
    У кого-то butthurt :).

    Аренда ботнета не так дорога если действительно нужно что-то сделать.

    А так почти "неуловимый джо" :D.

     
     
  • 2.50, Аноним, 22:05, 24/12/2013 [^] [ответить] [смотреть все] [показать ветку]  
  • +1 +/
    С учетом деятельности роскомпозора и прочих анб и призм - ныне в пору наоборот п... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.64, Аноним, 00:32, 01/01/2014 [^] [ответить] [смотреть все]  
  • –1 +/
    Мужик, а 1 Гбит трафа ты тоже через тор пропустишь входящего, м ... весь текст скрыт [показать]
     
     
  • 4.67, count0krsk, 19:30, 20/01/2014 [^] [ответить] [смотреть все]  
  • +/
    И вот именно поэтому пора бы кому-то уже озаботиться пиаром тор-серверов в РФ Ч... весь текст скрыт [показать]
     
     
  • 5.68, anonymous, 22:55, 01/02/2014 [^] [ответить] [смотреть все]  
  • +/
    Есть подозрение, что тогда просто заметут и будет еще хуже ... весь текст скрыт [показать]
     
     
  • 6.72, mickvav, 17:06, 17/02/2014 [^] [ответить] [смотреть все]  
  • +/
    Не, wifi без пароля соседи засрут торрентами за милую душу - сам не рад будешь ... весь текст скрыт [показать]
     
  • 4.75, Аноним, 10:31, 05/03/2014 [^] [ответить] [смотреть все]  
  • –1 +/
    1Гбит - думаю пропустится, особенно если шифрование по несольким процессорам рас... весь текст скрыт [показать]
     
     
  • 5.76, Слава, 12:18, 05/03/2014 [^] [ответить] [смотреть все]  
  • +/
    WAT ... весь текст скрыт [показать]
     
     
  • 6.82, Аноним, 11:02, 14/03/2014 [^] [ответить] [смотреть все]  
  • +/
    То самое Если вы укажете Tor что он может использовать несколько процов под кри... весь текст скрыт [показать]
     
     
  • 7.83, pavlinux, 18:15, 18/03/2014 [^] [ответить] [смотреть все]  
  • +/
    У тя из компа 100500 проводов выходит ... весь текст скрыт [показать]
     
     
  • 8.84, Аноним, 10:05, 28/03/2014 [^] [ответить] [смотреть все]  
  • +/
    Добрые дяди волшебники W инженеры давно придумали, как через один кабель общатьс... весь текст скрыт [показать]
     
     ....нить скрыта, показать (10)

  • 1.86, Аноним, 18:23, 04/04/2014 [ответить] [смотреть все]  
  • +/
    Заблокировать Tor - плюнуть в лицо пользователю.
     
  • 1.87, upf, 12:43, 14/05/2014 [ответить] [смотреть все]  
  • +/
    > Пример блокирования через ipfw:
    >    ipfw table 1 flush
    >    curl https://check.torproject.org/cgi-bin/TorBulkExitList.py?ip=8.8.8.8 |  grep -v "^#"   while read cnt ip; do
    >       /sbin/ipfw table 1 add $ip 1
    >    done
    >    ipfw add deny all from "table(1)" to any via  em1

    это называется паранойя на грани маразма ...
    меня вопрос мучает - а если выполнение загрузки списка затянется минут на дцать? у вас так и будет ipfw флашнутый висеть? и закроет все или наоборот откроет ?

     
  • 1.88, МУфлон, 15:09, 04/06/2014 [ответить] [смотреть все]  
  • +/
    Для iptables можно установить модуль ipset, который при больших списках хостов создает меньше нагрузки на проц.
     

    Ваш комментарий
    Имя:         
    E-Mail:      
    Заголовок:
    Текст:



      Закладки на сайте
      Проследить за страницей
    Created 1996-2017 by Maxim Chirkov  
    ДобавитьРекламаВебмастеруГИД  
    Hosting by Ihor